Bagikan melalui

Enclave Aware Containers dengan Intel SGX

  • Artikel

Enklave adalah wilayah memori terproteksi yang memberikan kerahasiaan untuk eksekusi data dan kode. Ini adalah instans Trusted Execution Environment (TEE) yang diamankan oleh perangkat keras. Simpul komputasi rahasia pada AKS menggunakan Intel Software Guard Extensions (SGX) untuk membuat lingkungan enklave yang terisolasi di simpul antara setiap aplikasi kontainer.

Sama seperti komputer virtual Intel SGX, aplikasi kontainer yang dikembangkan untuk berjalan di enklave memiliki dua komponen:

  • Komponen yang tidak tepercaya (dikenal juga sebagai host) dan
  • Komponen yang tepercaya (dikenal juga sebagai enklave).

Arsitektur Kontainer Sesuai Enklave

Arsitektur aplikasi kontainer sesuai enklave akan memberi Anda sebagian besar kontrol pada implementasi sambil menjaga jejak kode di enklave agar tetap rendah. Meminimalkan kode yang berjalan di enklave akan membantu mengurangi area permukaan serangan.

Pengaktif

Membuka Enklave SDK

Open Enclave SDK adalah pustaka sumber terbuka agnostik perangkat keras untuk mengembangkan aplikasi C, C++ yang menggunakan Lingkungan Eksekusi Tepercaya berbasis Perangkat Keras. Implementasi saat ini memberikan dukungan untuk Intel SGX serta dukungan pratinjau bagi OS OP-TEE di Arm TrustZone.

Mulai menggunakan aplikasi kontainer berbasis Enklave Terbuka di sini

Intel SGX SDK

Intel mengelola kit pengembangan perangkat lunak untuk membangun aplikasi SGX bagi beban kerja kontainer Linux dan Windows. Saat ini, kontainer Windows tidak didukung oleh simpul komputasi rahasia AKS.

Mulai menggunakan aplikasi berbasis Intel SGX di sini

Confidential Consortium Framework (CCF)

Confidential Consortium Framework (CCF) adalah kerangka kerja open-source untuk membangun kategori baru aplikasi yang aman dan sangat tersedia, dengan kinerja yang berfokus pada komputasi dan data berbagai pihak. CCF memungkinkan jaringan rahasia berskala tinggi yang memenuhi persyaratan perusahaan utama — sehingga menyediakan sarana untuk mempercepat produksi dan mengadopsi teknologi blockchain berbasis konsorsium dan teknologi komputasi berbagai pihak.

Mulai menggunakan komputasi rahasia Azure dan CCF di sini

Inferensi Rahasia ONNX Runtime

Runtime ONNX berbasis enklave open source menghasilkan saluran yang aman antara klien dan layanan inferensi - sehingga memastikan bahwa permintaan maupun respons tidak dapat meninggalkan enklave aman.

Solusi ini memungkinkan Anda untuk menggunakan model ML terlatih yang telah ada dan menjalankannya secara rahasia sambil mewujudkan kepercayaan antara klien dan server melalui pengesahan dan verifikasi.

Mulai dengan lift dan shift model ML ke runtime ONNX di sini

EGo

SDK EGo sumber terbuka memberikan dukungan untuk bahasa komputer Go ke enklave. EGo dibangun di SDK Enklave Terbuka. Ini bertujuan untuk memudahkan pembuatan layanan mikro rahasia. Ikuti panduan langkah demi langkah ini untuk menyebarkan layanan berbasis EGo di AKS.

Implementasi Sampel Berbasis Kontainer

Sampel Azure untuk kontainer sesuai enklave pada AKS

Sebarkan kluster AKS dengan Node Mesin Virtual Rahasia Intel SGX

Azure Attestation

Komputer Virtual Rahasia SGX Intel di AzureKontainer Rahasia